I ricercatori di Cybersecurity hanno scoperto tre moduli GO dannosi che includono codice offuscato per recuperare i payload in stadio successivo che possono sovrascrivere irrevocabilmente il disco primario di un sistema Linux e renderlo irregolare.
I nomi dei pacchetti sono elencati di seguito –
- github (.) com/sindacale trimico/prototransform
- github (.) com/blankloggia/go-mcp
- github (.) com/steelpoor/tlsproxy
“Nonostante appaiano legittimi, questi moduli contenevano altamente Codice offuscato Progettato per recuperare ed eseguire payload remoti “, ricercatore di socket Kush Pandya disse.
I pacchetti sono progettati per verificare se il sistema operativo su cui vengono eseguiti è Linux e, in tal caso, recuperare un payload in stadio successivo da un server remoto utilizzando WGET.
Il payload è uno script di shell distruttivo che sovrascrive l’intero disco primario (“/dev/sda“) Con zero, impedendo effettivamente l’avvio della macchina.
“Questo metodo distruttivo garantisce che nessuno strumento di recupero dei dati o processo forense possano ripristinare i dati, in quanto li sovrascrive direttamente e irreversibile”, ha affermato Pandya.
“Questa sceneggiatura dannosa lascia i server Linux mirati o gli ambienti per sviluppatori completamente paralizzati, evidenziando l’estremo pericolo rappresentato da moderni attacchi a catena di approvvigionamento che possono trasformare il codice apparentemente fidato in minacce devastanti.”
La divulgazione arriva quando molte pacchetti NPM dannosi sono stati identificati nel registro con funzionalità per rubare frasi di semi mnemoniche e chiavi di criptovaluta privata e dati sensibili all’esfiltrato. L’elenco dei pacchetti, identificato da PRESA, SonatypeE Fortinet è sotto –
- cripto-eccrypt-t
- react-native-scrollpageviewtest
- BankingBundleserv
- ButtonFactoryServ-Paypal
- Tommyboytesting
- compliancereadserv-paypal
- Oauth2-Paypal
- PaymentApiplatFormService-Paypal
- UserBridge-Paypal
- UserRelationship-Paypal
I pacchetti allacciati da malware destinati ai portafogli di criptovaluta sono stati scoperti anche nel repository Python Package deal Index (PYPI)-Web3x e Right here WalletBot-con le capacità di sifone frasi di semi mnemonici. Questi pacchetti sono stati scaricati collettivamente più di 6.800 volte da quando sono stati pubblicati nel 2024.
Un’altra serie di sette pacchetti PyPI sono stati trovato Sfruttare i server SMTP e WebSocket di Gmail per l’esfiltrazione dei dati e l’esecuzione del comando remoto nel tentativo di eludere il rilevamento. I pacchetti, che sono stati rimossi da allora, sono i seguenti –
- CFC-BSB (2.913 obtain)
- Coffin2022 (6.571 obtain)
- Coffin-Codes-2022 (obtain 18.126)
- Code-Codes-Web (6.144 obtain)
- Coffin-Codes-Net2 (6.238 obtain)
- Coffin-Codes-Professional (9.012 obtain)
- bara-grove (6.544 obtain)
I pacchetti utilizzano le credenziali dell’account Gmail con codice duro per accedere al server SMTP del servizio e inviare un messaggio a un altro indirizzo Gmail per segnalare un compromesso riuscito. Successivamente stabiliscono una connessione WebSocket per stabilire un canale di comunicazione bidirezionale con l’attaccante.
Gli attori delle minacce sfruttano la fiducia associata ai domini Gmail (“SMTP.GMAIL (.) COM”) e al fatto che i proxy aziendali e i sistemi di protezione degli endpoint sono improbabili che lo segnassano come sospettosi, rendendolo sia furtivamente e affidabile.
Il pacchetto che a parte il resto è CFC-BSB, che manca della funzionalità correlata a Gmail, ma incorpora la logica WebSocket per facilitare l’accesso remoto.
Per mitigare il rischio rappresentato da tali minacce della catena di approvvigionamento, si consiglia agli sviluppatori di verificare l’autenticità del pacchetto controllando la cronologia degli editori e i collegamenti del repository GitHub; Dipendenze di audit regolarmente; e applicare rigorosi controlli di accesso su chiavi personal.
“Guarda le insolite connessioni in uscita, in particolare il traffico SMTP, poiché gli aggressori possono utilizzare servizi legittimi come Gmail per rubare dati sensibili”, ha affermato la ricercatrice di socket Olivia Brown. “Non fidarti di un pacchetto solo perché esiste da più di qualche anno senza essere rimosso.”
